Wireshark 是目前最受歡迎的抓包工具。它可以運(yùn)行在 Windows、Linux 及 MAC OS X 操作系統(tǒng)中，并提供了友好的圖形界面。同時(shí)，Wireshark 提供功能強(qiáng)大的數(shù)據(jù)抓包功能。使用它，可以以各種方式抓取用戶所需要的網(wǎng)絡(luò)數(shù)據(jù)包。但是用戶往往無法從數(shù)據(jù)包中直接獲取所需要的數(shù)據(jù)。這是由于所有的信息在傳輸過程中，都會(huì)被按照各種網(wǎng)絡(luò)協(xié)議進(jìn)行封裝。用戶想要從海量的數(shù)據(jù)抓包中獲取的有用的信息，必須了解各種常見的網(wǎng)絡(luò)協(xié)議。什么是網(wǎng)絡(luò)協(xié)議呢？網(wǎng)絡(luò)協(xié)議就和我們說話使用某種語言規(guī)范一樣。當(dāng)兩個(gè)人談話時(shí)，如果不使用共同的語言，可能無法溝通。計(jì)算機(jī)也一樣，在兩臺(tái)計(jì)算機(jī)之間傳輸數(shù)據(jù)時(shí)，也必須使用相同的協(xié)議才可以進(jìn)行通信。由于數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)，無法看到傳輸?shù)臄?shù)據(jù)。這時(shí)候用戶就可以使用 Wireshark 抓包。通過學(xué)習(xí)網(wǎng)絡(luò)協(xié)議規(guī)范，我們就可以分析捕獲到的包，并從中查看到傳輸?shù)臄?shù)據(jù)，如用戶發(fā)送的郵件內(nèi)容、QQ 號(hào)碼等。為了方便用戶對(duì)數(shù)據(jù)包的分析，本書詳細(xì)介紹了常用的各種網(wǎng)絡(luò)協(xié)議，如 ARP、IP、TCP、UDP、 HTTP、HTTPS 等。

　　網(wǎng)絡(luò)協(xié)議是用于不同計(jì)算機(jī)之間進(jìn)行網(wǎng)絡(luò)通信的。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備（如網(wǎng)絡(luò)服務(wù)器、計(jì)算機(jī)、交換機(jī)、路由器等）之間通信規(guī)則的集合，它規(guī)定了通信時(shí)信息必須采用的格式和這些格式的意義。常見的協(xié)議有 TCP/IP 協(xié)議、IPX/SPX 協(xié)議、NetBEUI 協(xié)議等。本章將介紹將簡要講解 TCP/IP 網(wǎng)絡(luò)協(xié)議。

　　抓包工具就是用來將網(wǎng)絡(luò)傳輸發(fā)送與接收的數(shù)據(jù)包進(jìn)行截獲、重發(fā)、編輯、轉(zhuǎn)存等操作，也用來檢查網(wǎng)絡(luò)安全，但也往往被某些人用來網(wǎng)游作弊等。抓包工具可以在 Windows、Unix 等各種平臺(tái)運(yùn)行網(wǎng)絡(luò)監(jiān)聽軟件，主要是針對(duì) TCP/IP 協(xié)議的不安全性對(duì)運(yùn)行該協(xié)議的機(jī)器進(jìn)行監(jiān)聽。本節(jié)將介紹數(shù)據(jù)抓包原理及工具。

　　數(shù)據(jù)在網(wǎng)絡(luò)上以很小的稱為幀的單位傳輸?shù)?。幀由幾部分?gòu)成，不同的部分執(zhí)行不同的功能。幀通過特定的稱為網(wǎng)絡(luò)驅(qū)動(dòng)程序的軟件進(jìn)行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上，通過網(wǎng)線到達(dá)它們的目的機(jī)器，在目的機(jī)器的一端執(zhí)行相反的過程。接收端機(jī)器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀已到達(dá)，然后對(duì)其進(jìn)行存儲(chǔ)。就在這個(gè)傳輸和接收過程中，嗅探器（抓包工具）會(huì)帶來安全方面的問題。每一個(gè)在局域網(wǎng)（LAN）上的工作站都有其硬件地址，這些地址惟一地表示了網(wǎng)絡(luò)上的機(jī)器（這一點(diǎn)與 Internet 地址系統(tǒng)比較相似）。當(dāng)用戶發(fā)送一個(gè)數(shù)據(jù)包時(shí)，如果為廣播包，則可達(dá)到局域網(wǎng)中的所有機(jī)器。如果為單播包，則只能到達(dá)處于同一碰撞域中的機(jī)器。在一般情況下，網(wǎng)絡(luò)上所有的機(jī)器都可以“聽”到通過的流量，但對(duì)不屬于自己的數(shù)據(jù)包則不予響應(yīng)。換句話說，工作站 A 不會(huì)捕獲屬于工作站 B 的數(shù)據(jù)，而是簡單地忽略這些數(shù)據(jù)。如果某個(gè)工作站的網(wǎng)絡(luò)接口處于混雜模式，那么它就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)包和幀。

　　在計(jì)算機(jī)中，可使用的抓包工具有很多，如 SmartSniff、Sniffer、HTTP Analyzer、Wireshark 等。目前最常用的數(shù)據(jù)抓包工具就是 Wireshark，所以本書以 Wireshark 抓包工具為例，捕獲各種 TCP/IP 協(xié)議數(shù)據(jù)包。本節(jié)將詳細(xì)介紹 Wireshark 工具。